影響微軟谷歌旗下產(chǎn)品，研究人員公布 UEFI 漏洞 PixieFAIL

IT之家 1 月 19 日消息，法國(guó)網(wǎng)絡(luò)安全公司 Quarkslab 日前公布了一項(xiàng)名為 PixieFAIL 的 UEFI 漏洞，該漏洞允許黑客遠(yuǎn)程發(fā)動(dòng) DoS 攻擊、執(zhí)行任意代碼、劫持網(wǎng)絡(luò)會(huì)話。包括微軟、ARM、谷歌等公司旗下產(chǎn)品均遭影響。

IT之家注意到，相關(guān)漏洞主要存在于英特爾 TianoCore EDK II 開發(fā)環(huán)境中，由 9 項(xiàng)子漏洞組成，具體列表如下：

• 整數(shù)溢出漏洞：CVE-2023-45229

• 緩沖區(qū)溢出漏洞：CVE-2023-45230、CVE-2023-45234、CVE-2023-45235

• 越界讀取漏洞：CVE-2023-45231

• 循環(huán)漏洞：CVE-2023-45232、CVE-2023-45233

• TCP 序列號(hào)預(yù)測(cè)漏洞：CVE-2023-45236

• 弱偽隨機(jī)數(shù)生成器漏洞：CVE-2023-45237

研究人員指出，當(dāng)下許多企業(yè)計(jì)算機(jī)及服務(wù)器使用網(wǎng)絡(luò)啟動(dòng)操作系統(tǒng)，為了提供相關(guān)功能，UEFI 需要在驅(qū)動(dòng)執(zhí)行環(huán)境（DXE）階段實(shí)現(xiàn)了一個(gè)完整的 IP 堆棧，從而形成了相關(guān)漏洞，允許黑客在預(yù)啟動(dòng)執(zhí)行環(huán)境（Preboot Execution Environment，PXE）入侵本地局域網(wǎng)計(jì)算機(jī)，進(jìn)而進(jìn)行惡意行為。

據(jù)悉，由于微軟 Project Mu、谷歌 ChromeOS、Phoenix Technologies 的 SecureCore 等產(chǎn)品中均包含 TianoCore EDK II 部分代碼，因此 PixieFAIL 漏洞也會(huì)影響相關(guān)軟件。

實(shí)際上，Quarkslab 早在去年 8 月向法國(guó)計(jì)算機(jī)應(yīng)急和協(xié)調(diào)中心（CERT-FR）報(bào)告了 PixieFAIL 漏洞，并提供了其中 7 個(gè)子漏洞的概念驗(yàn)證程序。該公司原計(jì)劃于去年 11 月 2 日公開披露該漏洞，但收到了各廠商的推遲披露請(qǐng)求，并一再推遲，直到當(dāng)下絕大多數(shù)廠商修復(fù)完成后，該安全公司才最終官宣披露相關(guān)漏洞。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。